LockBit bleibt laut Ransomware-Report Juni von Malwarebytes die mit Abstand am weitesten verbreitete Ransomware. Das Malwarebytes Threat Intelligence Team konnte der Ransomware-Gruppe 44 Angriffe im Juni 2022 zuschreiben (im Vergleich zu 73 Angriffen im Mai 2022). Auf LockBit folgte im Juni Karakurt mit 27 Angriffen, Black Basta mit 18 Angriffen und ALPHV (auch bekannt als BlackCat) mit 15 Angriffen.
Conti nimmt im Juni keinen Platz mehr in der Analyse ein. Der Monat war aber auch wegen des Verschwindens dieser Ransomware-Gruppe sowie einer großen Anzahl an Angriffen von Gruppen, die angeblich Verbindungen zu Conti haben, bemerkenswert. Betrachtet man die Verteilung der Ransomware-Angriffe nach Ländern, war im Juni 2022 die USA, wie auch bereits im Vormonat, das mit Abstand am stärksten betroffene Land: 70 Angriffe bringt Malwarebytes mit den Vereinigten Staaten in Verbindung. 11 Angriffe erfolgten im Vereinigten Königreich, 10 Angriffe in Kanada und 9 Angriffe jeweils in Deutschland und Italien.
Ohne großes Aufsehen zu erregen, hat sich LockBit in diesem Jahr zur dominierenden Kraft bei Ransomware entwickelt. Auch wenn im Juni weniger Opfer auf seiner Leak-Webseite veröffentlicht wurden als im Mai, lag die Ransomware nach wie vor weit vor ihrer Konkurrenz. LockBit wird als Ransomware-as-a-Service (RaaS) angeboten. Die Angriffe werden von Partnern, sogenannten „Pen-Testern“, durchgeführt, die der LockBit-Organisation 20 Prozent des erworbenen Lösegelds zahlen – als Gegenleistung für die Nutzung der LockBit-Software und -Dienste.
Und während einige Ransomware-Banden vor allem Aufmerksamkeit in der Öffentlichkeit generieren wollen, scheint LockBit mehr daran interessiert zu sein, was seine User denken. Die Partnerseite beginnt mit einer Aussage, die das Unternehmen insbesondere von seinen russischen Rivalen abheben soll: „Wir sind in den Niederlanden ansässig, völlig unpolitisch und nur an Geld interessiert.“
Im Juni2022 geriet LockBit in die Schlagzeilen. Die Ransomware-Gruppe startete LockBit 3.0 zusammen mit einer neuen Webseite im Darknet und einem Bug-Bounty-Programm. Letzteres versprach Belohnungen von bis zu einer Million Dollar für das Auffinden von Schwachstellen in der Webseite und Software von LockBit, für das Einreichen brillanter Ideen oder für das erfolgreiche Doxing des Leiters des LockBit-Partnerprogramms.
Ob LockBit ernsthaft die Absicht hat, diese Summen auszuzahlen, bleibt abzuwarten. Sollte die Gruppe jedoch tatsächlich beabsichtigen, mithilfe von Bug Bounty ihre Software zu verbessern und ihre Vorgehensweise zu verfeinern, könnte sie Strafverfolgungsbehörden und Sicherheitsforschern wertvoller Informationen berauben.
Im Juni verschwand, wie erwartet, die Leak-Webseite von Conti – nach einigen Wochen der Inaktivität. Wie das Malwarebytes Threat Intelligence Team bereits im Mai berichtete, deuteten Recherchen von Advintel letzten Monat darauf hin, dass die Annäherung der Gruppe an den russischen Staat Anwälte von Opfern dazu veranlasst hatte, sie vor einer Zahlung von Lösegeld zu warnen. Denn diese hätten zu Sanktionen führen können.
Als die Einnahmen der Gruppe versiegten, heckten die Anführer von Conti angeblich einen Plan aus, um die Marke in den Ruhestand zu schicken. Sie teilten ihre Mitglieder in andere Ransomware-Gruppen wie Black Basta, BlackByte, Karakurt, Hive und ALPHV auf und täuschten ihren eigenen Tod vor. Das Malwarebytes Threat Intelligence Team konnte bestätigen, dass Conti Ende Mai eine interne Ankündigung über seinen Rückzug an seine Mitglieder verschickte und dass interne Chat-Server etwa zur gleichen Zeit nicht mehr erreichbar waren. Die Leak-Webseite verschwand am 22. Juni 2022 und ist nach wie vor nicht erreichbar.
Der Shutdown von Conti überschnitt sich mit dem plötzlichen Auftauchen von Black Basta im April sowie einer starken Aktivitätenzunahme und dem Auftauchen einer neuen Leak-Webseite von Karakurt im Juni. Es mag ein Zufall sein, aber das Malwarebytes Threat Intelligence Team stellte fest, dass die kombinierte Aktivität von Black Basta, BlackByte und Karakurt im letzten Monat ein Niveau erreicht, das dem von Conti ähnelte.
Die ALPHV-Gruppe richtete sich erstmals mit einer Leak-Webseite an Mitarbeitende und Kunden eines Hotels. Ransomware-Gruppen haben bereits versucht, Führungskräfte an der Spitze von Unternehmen ins Visier zu nehmen, um den Druck zu erhöhen. Aber dass ALPHV Mitarbeitende und Kunden, in diesem Fall Hotelgäste, mit einer speziellen Webseite adressierte, ist neu. Letztere befand sich nicht im Darknet, sondern im öffentlichen Internet. Auf der Website konnten Gäste und Mitarbeitende 112 GB personenbezogene Daten, die ALPHV bei dem Angriff gestohlen hatte, durchsuchen und so herausfinden, ob ihre persönlichen Daten darunter waren. Mit dieser neuen Taktik sollte offenbar weiterer Druck auf den Hotelier ausgeübt werden, das Lösegeld zu bezahlen.
Indem ALPHV die Seite ins öffentliche Web stellte, machte die Gruppe die Informationen für technisch nicht versierte User viel leichter zugänglich. Die Seite war jedoch nur wenige Tage lang verfügbar, bevor sie vom Netz genommen wurde. Das Malwarebytes Threat Intelligence Team geht davon aus, dass die Ransomware-Gruppe sicherlich gewusst hat, dass dies geschehen würde. Vermutlich musste die Webseite aber nur lange genug bestehen, um genug Aufmerksamkeit zu erregen und die Verhandlungen auf diese Weise zu beeinflussen.redakt
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…